Lazarus Group Targets Job Seekers With ClickFix Tactic to Deploy GolangGhost Malware
- 개요
- 북한 연계 위협그룹 Lazarus가 구직자 대상 소셜 엔지니어링을 통해 Golang 기반 백도어(GolangGhost)를 배포
- 해당 캠페인은 기존 Contagious Interview 공격의 연장선으로 분석되며, 프랑스 보안업체 Sekoia는 이를 ClickFake Interview로 명명
- 공격 대상은 코인베이스(Coinbase), 쿠코인(KuCoin), 크라켄(Kraken) 등 중앙화 금융(CeFi) 기업을 위장하며, 주요 타깃은 비개발 직군의 관리자 및 자산 운영 담당자
- 주요 공격 전술: ClickFix
- 피해자에게 화상 면접 준비를 이유로 Willo라는 가짜 화상면접 사이트 접속 유도
- 카메라 오류 메시지 표시 후, 사용자가 직접 명령줄에 curl 명령어를 입력하도록 유도해 악성 스크립트 실행
- Windows의 경우
curl명령어로 VBS 파일을 실행 → Batch 파일 실행 → GolangGhost 백도어 설치
- macOS의 경우
curl로 쉘 스크립트 실행 → 2차 쉘 스크립트 → FROSTYFERRET 및 GolangGhost 설치
- FROSTYFERRET 기능
- 사용자에게 Chrome 브라우저의 카메라 접근 권한 허용 요청 팝업을 위장
- 시스템 비밀번호 입력 시 Dropbox로 정보 탈취
- iCloud Keychain 접근을 위한 시도 가능성 제기
- GolangGhost 기능
- 파일 업로드/다운로드
- 호스트 정보 수집
- 웹 브라우저 데이터 탈취
- 명령어 기반 원격 제어 기능 보유
- 공격 대상 변화
- 기존: 소프트웨어 개발자, 엔지니어 등 기술직
- 현재: 비기술직(사업 개발, 자산 관리, 디파이 전문가 등)으로 확장
- LinkedIn, X(구 Twitter) 등을 활용한 접근, 오픈소스 프로젝트 또는 화상면접 소프트웨어 위장
- IT 인력 위장 공격과 연계
- 북한 국적자들이 유럽 전역에 걸쳐 위장 취업 활동 강화
- 독일, 포르투갈, 영국 등에서 웹 개발, 봇 개발, CMS 구축, 블록체인 기술 프로젝트 참여
- GitHub 기반 가짜 포트폴리오 구성, 위조된 국가 신분(이탈리아, 일본, 싱가포르 등) 사용
- 페이먼트 수단: 암호화폐, TransferWise, Payoneer
- 북한 국적자들이 유럽 전역에 걸쳐 위장 취업 활동 강화
- 내부 위협으로의 진화
- 2024년 10월 이후 협박(extortion) 기반 내통 활동 증가
- 내부 데이터 유출 또는 경쟁사 제공을 빌미로 몸값 요구
- BYOD(개인기기 업무 사용 정책) 적용 기업 집중 공격
- 엔터프라이즈 보안 정책이 미적용된 개인 장비에서의 보안 취약성 악용
- 2024년 10월 이후 협박(extortion) 기반 내통 활동 증가
- 보안 권고
- 기업 채용 과정에서 서드파티 영상면접 솔루션 사용 시 보안 검토 필수
- 사내 인사팀 및 보안부서 협력, 화상면접 시 직접 설치 요구 금지
- BYOD 정책 보완 및 모바일 디바이스 관리(MDM) 도입 권장
- LinkedIn, GitHub 등 소셜 플랫폼에서 비정상 사용자 프로필 식별 체계 마련
- 구직자 대상 피싱 대비 보안 인식 교육 강화
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| EvilCorp와 RansomHub의 협업을 통한 글로벌 랜섬웨어 위협 고도화 분석 (0) | 2025.05.13 |
|---|---|
| Hive에서 파생된 Hunters International 랜섬웨어 그룹의 진화 분석 (0) | 2025.05.13 |
| 위장 안드로이드 기기에서 사전 설치된 Triada 악성코드 분석 (0) | 2025.05.13 |
| 세금 시즌을 악용한 악성 PDF 및 QR코드 기반 피싱 캠페인 분석 (0) | 2025.05.13 |
| Stripe API 악용 웹 스키밍 공격 분석 보고서 (0) | 2025.05.13 |